1.そもそも脅威とは何か?
情報処理安全確保支援士試験ではたくさんの脅威が登場します。まずは、言葉の定義から理解しましょう。
(1)脅威とは
脅威という言葉ですが、
当たり前すぎて、説明しにくいですね。
脅威は脅威としか言いようがありません。
以下の問題を見てみよう。
問41 JIS Q 27002における情報資産に対する脅威の説明はどれか。 ア 情報資産に害をもたらすおそれのある事象の原因 イ 情報資産に内在して、リスクを顕在化させる弱点 ウ リスク対策に費用をかけないでリスクを許容する選択 エ リスク対策を適用しても解消しきれずに残存するリスク (H22AP春 午前 問41) |
リスクマネジメントの章で「リスク=情報資産の価値 x 脆弱性 x 脅威」という説明をする。
それを意識しながら、上記の選択肢を一つ一つそれぞれが何を意味するかを考えると勉強になる。
正解は、アの「情報資産に害をもたらすおそれのある事象の原因」です。
(2)脅威の分類
情報処理安全確保支援士試験では非常にたくさんの脅威が出題されます。それらをバラバラに学習するのは大変です。そこで、脅威を以下のように分類して考えましょう。出典は情報セキュリティマネジメント試験のシラバス
(https://www.jitec.ipa.go.jp/1_13download/syllabus_sg_ver1_0.pdf P2[脅威の種類])
脅威の分類 | 代表例 |
①物理的脅威 | 事故,災害,故障,破壊,盗難,不正侵入 ほか |
②技術的脅威 | 不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか |
③人的脅威 | 誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか |
この中で、試験では、技術的な脅威が多数問われることでしょう。
参考までに、先ほどの設問の、他の選択肢を解説します。
■選択肢イ
「情報資産に内在して、リスクを顕在化させる弱点」は脆弱性のことですね。
■選択肢ウ
「リスク保有」です。リスクを全て対策することは費用対効果の面で適切ではありません。例えば、パンフレットが盗まれたとしても、そもそも配るものなのでがまんしましょうという考えです。
■選択肢エ
「残存リスク」です。例えば、入退室管理にICカード認証による対策をします。しかし、共連れで不正に入室されるリスクは残ります。これが残存リスクです。
残存リスクに対しては、多くは運用面でルールを決めるなどして対処します。例えば、共連れで入るときは、正規に入った人が注意して入らせないようにするなどの対策を行います。
2.不正アクセスについて
(1)不正アクセスとは
IPAの資料(https://www.ipa.go.jp/files/000011455.pdf)に不正アクセスの説明があります。
具体例が分かりやすいと思いますので、引用します。
具体的には、以下に示す行為のことです。 ・ コンピュータのOSやアプリケーションあるいはハードウェアに存在するぜい弱性(セキュリティホール)を利用して、コンピュータのアクセス制御機能を迂回し、コンピュータ内に侵入する行為(侵入行為) ・ 他の人に与えられた、利用者IDおよびパスワードを、その持ち主の許可を得ずに利用して、持ち主に提供されるべきサービスを受ける行為(『なりすまし』行為) ・ 持ち主の許可を得ずに、その持ち主の利用者IDおよびパスワードを第三者に提供する行為 |
不正アクセスとは別に、クラッキングという言葉もあります。過去問(H27年秋IP問73)には、「情報セキュリティにおけるクラッキング」の説明として,「悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う」と述べられています。こちらも、不正アクセスと同じ意味と考えてもいいでしょう。
(2)不正アクセスの被害
不正アクセスと言っても、とても幅広いものです。
IPAの資料に「コンピュータウイルス・不正アクセスの届出状況および相談状況 [2014年年間]」があります。
https://www.ipa.go.jp/security/txt/2015/2014outline.html
ここの「2014年不正アクセス被害内容」によると、以下がその例として述べらえています。
①踏み出しとして悪用 29%
②サービス低下 16%
③オンラインサービスの不正利用 16%
④ウェブサイト改ざん 11%
⑤データの窃取、盗み見 8%
(3)不正アクセスの原因
上記と同じ資料に、「2014年不正アクセス被害原因」が記載されています。
①ID,パスワード管理の不備 17%
②古いバージョン、パッチ未導入など 11%
③設定不備 10%
とあります、ただ、一番多いのは「不明 34%」で、被害を受けた側は、何が原因なのか理解していない状況です。これでは、次も攻撃されることでしょう。
(4)不正アクセス対策
では、不正アクセス対策は具体的にどのように行えばいいのでしょうか。
不正アクセスの攻撃も多岐にわたるため、簡単には言えません。代表的な対策としては、以下の3つが考えらえます。
①ゲートウェイ機器での対策
ファイアウォールやIPS、WAFによる不正アクセスの防御
②サーバの要塞化
不要なサービスおよびポート、アカウントの停止、パッチの適用、アクセス制御などを適切に行う
③運用管理
ログを取得し、日々監視する。また、緊急時には迅速な対応を行う
3.STIX
(1)STIXとは
STIX(脅威情報構造化記述形式:Structured Threat Information eXpression)は、サイバー攻撃に関する脅威情報の記述形式の事です。
IPAに詳しい解説があります。
https://www.ipa.go.jp/security/vuln/STIX.html
上記のサイトには、「STIXは、サイバー攻撃活動(Campaigns)、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、攻撃対象(Exploit_Targets)の8つの情報群から構成されています。」とあります。
(2)過去問
情報処理安全確保支援士試験の過去問(H30秋SC午後Ⅰ問2)では、以下のように穴埋めの選択肢式で問われました。
セキュリティ機関からは,ワームVのインディケータ情報が[ e ]形式で提供されていた。 |
4.不正のトライアングル
この内容は、情報処理安全確保支援士試験というより、情報セキュリティマネジメント試験で重要なキーワードです。
不正が発生する条件として、①機会、②動機、③正当化の3つが揃うことと言われています。
たとえば、社員が個人情報を第三者に販売したとします。
このとき以下のような要件が揃うのです。
①機会:システム管理者などの立場で、個人情報にアクセスできる機会があった
②動機:お金にとても困っていて、個人情報を売ればお金になる
③正当化:「個人情報を売っても、誰も困らないだろう」「悪いのは、安月給でコキ使って働かせる会社」などという、やむを得ない犯罪であるという心理
たとえば、平成21年に、三菱UFJ証券で、約5万件の顧客情報が流出する事件が起きました。この事件の原因は、情報システム部の社員が、借金返済のために名簿業者に売却したことでした。
守る側としては、この3要件を、一つでも潰すことで、不正を防ぎやすくなると言われています。では、過去問(H27年秋SC午前2)を見てみましょう。
問9 不正が発生する際にぱ不正のトライアングル”の3要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明のうち,適切なものはどれか。 ア “機会”とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正行為の実行を可能,又は容易にする環境の存在である。 イ “情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。 ウ “正当化”とは,ノルマによるプレッシャーなどのことである。 エ “動機”とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。 |
正解はアです。ウが「動機」で、エが「正当化」の説明です。
5.ハッカーおよび攻撃者について
(1)ハッカーとホワイトハッカー
ハッカー(hacker)とは、元々は、コンピュータに精通した人を意味しました。しかし、世間一般には、悪意を持って攻撃する人を指すことが多くなっています。そこで、正義の専門家をハッカー、攻撃者をクラッカー(Cracker)と分けていたときもありましたが、クラッカーという言葉はあまり普及しませんでした。
そこで(、なのかは分かりませんが)、攻撃を防ぐために技術に精通した善意の人は、悪意のある人と区別するために、ホワイトハッカー(white hacker)と言われます。
そもそも、彼らは何のために攻撃しているのか。以下にIPAの資料がある。
http://www.ipa.go.jp/security/vuln/documents/10threats2013_slide.pdf
これによると、かつては「いたずら目的」だったものが、「いたずら目的」「金銭目的」「抗議目的」「諜報目的」と多様化している。金銭目的はクレジットカード情報を盗んだり、個人情報を盗んで売ったりなどであり、最近はとても増えている。
(2)ハクティビスト(hacktivist)
情報処理安全確保支援士試験の過去問(H25SC春午前2問8不正解選択肢)では、「情報技術を利用し,信教や政治的な目標を達成するという目的をもった人や組織の総称である」と述べられている
(3)アノニマス
(4)ボットハーダー
(5)スクリプトキディ(script kiddie)
過去問(H28秋SG午前問24)では、「スクリプトキディの典型的な行為」として「技術不足なので新しい攻撃手法を考え出すことはできないが,公開された方法に従って不正アクセスを行う。」と述べられています。
■天才ハッカー ジョージ・ホッツ氏
17歳でiPhoneの脱獄に成功してブログに公開、SONYのPSの脱獄(ジェイルブレイク)にも成功(後にSONYに訴えられる)ということから、英雄視されていることもある。その後、Facebookに雇われることになった。
6.その他
このあたりは情報処理安全確保支援士試験には関係ないので、読み物として考えてください。
(1)日本のセキュリティレベル
日本は世界的にみて、セキュリティ対策のレベルは高いのですか?
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、ボット感染状況として、「マイクロソフトの「Security Intelligence Report」によると、日本は、インターネット先進国ばかりでなく、全世界的に極端に感染が少ない国」「マイクロソフトの駆除ツールMSRTの実行1000回あたりのボット感染駆除の値(中略)日本は0.6で最小となっており、他の先進国は、米国5.2、ロシア4.3、フランス4.0、英国2.7、ドイツ1.4で、近隣の韓国は14.6となっている。」と述べられている。
(2)被疑者でもっとも多いのは?
解答群 ①元交際相手や元従業員等の顔見知りの者 ②交友関係のない他人 ③ネットワーク上の知り合い |
「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」にいろいろなデータが掲載されている
http://www.npsc.go.jp/hightech/H230303.pdf
正解は①
最近では、データが変わっているようである。
僅差で②が一位のようだ。
(2) 被疑者と利用権者の関係 不正アクセス禁止法違反に係る被疑者と識別符号を窃用された利用権者の関係に ついてみると、交友関係のない他人によるものが最も多く(76人)、次いで元交際 相手や元従業員等の顔見知りの者によるもの(75人)、ネットワーク上の知り合い によるもの(19人)となっている。 http://www.soumu.go.jp/main_content/000347975.pdf |
(3)平成25年中のサイバー犯罪の検挙状況等について
警察庁のページに、「平成25年中のサイバー犯罪の検挙状況等について」掲載されている。
https://www.npa.go.jp/cyber/statics/h25/pdf01-2.pdf
8113件で、過去最高。これに対し、相談件数は84863件。
たしか今は10万件を突破しているはず。